Folgen 
Fehler in der Webinfrastruktur bleiben besonders gefährlich, wenn sie jahrelang in weit verbreiteten Anforderungsverarbeitungslösungen unentdeckt bleiben. Unter den neuesten Schwachstellen, die NGINX Plus und NGINX Open betreffen, sticht die Schwachstelle CVE-2026-42945 hervor, ein 18 Jahre alter Heap-Pufferüberlauf im ngx_http_rewrite_module, der von einem nicht authentifizierten Angreifer durch manipulierte HTTP-Anfragen erreicht werden kann und möglicherweise zu einer Dienstverweigerung oder in einigen Fällen zu einer Remote-Codeausführung führt. Öffentliche Berichte nennen einen CVSS-v4-Score von 9,2 und bezeichnen das Problem als NGINX Rift.
Aus der Perspektive eines Verteidigers sind die wichtigsten Details für CVE-2026-42945 das betroffene Konfigurationsmuster und der Patch-Pfad. Öffentliche Analysen von CVE-2026-42945 zeigen, dass der Fehler auftritt, wenn eine Rewrite-Direktive eine unbenannte PCRE-Erfassung wie $1 oder $2 verwendet, einen Ersatzstring mit einem Fragezeichen enthält und von einer weiteren Rewrite-, If- oder Set-Direktive im selben Bereich gefolgt wird.
Analyse von CVE-2026-42945
Auf technischer Ebene wird die Schwachstelle CVE-2026-42945 durch inkonsistente Escaping-Logik in der Rewrite-Engine verursacht. Depthfirst erklärt, dass NGINX die Länge des Zielpuffers unter einem Satz von Annahmen berechnet und dann Daten unter einem anderen kopiert, sodass Bytes aus der vom Angreifer kontrollierten URI über den zugewiesenen Heap-Puffer im Arbeitsprozess hinauslaufen können.
In praktischer Hinsicht ist die öffentliche Payload für CVE-2026-42945 kein zur Installation bereitgestelltes Binary oder Skript, sondern eine speziell entwickelte HTTP-Anforderung, die eine verwundbare Rewrite-Regel erreicht und deterministische Heap-Korruption auslöst. F5 erklärt, dass dies den Arbeitsprozess neu starten kann, während öffentliche Berichte hinzufügen, dass auch Codeausführung möglich sein kann, insbesondere auf Systemen, auf denen ASLR deaktiviert ist.
Die Offenlegung ist bemerkenswert, da ein technischer Bericht und eine Erklärung der Ursache zusammen mit der Empfehlung veröffentlicht wurden, und depthfirst ausdrücklich sagt, dass die vollständige Analyse einen CVE-2026-42945-PoC und eine Patch-Durchführung enthält. Gleichzeitig erklären die Materialien des Anbieters und des Forschers, dass sie zum Zeitpunkt der Offenlegung von keiner Ausführung in freier Wildbahn wussten.
Die Exposition ist weitreichend, da CVE-2026-42945 NGINX Open Source-Versionen von 0.6.27 bis 1.30.0 und NGINX Plus R32 bis R36 betrifft. Die Nginx-Sicherheitswarnungsseite listet auch zusätzliche betroffene F5- und NGINX-Produkte auf, die auf demselben Code basieren, während die behobenen Open Source-Versionen 1.30.1 und 1.31.0 sind.
CVE-2026-42945-Minderung
Die Priorität zur Minderung von CVE-2026-42945 besteht darin, auf eine behobene Version zu aktualisieren. Für NGINX Open Source bedeutet das, auf 1.30.1 oder 1.31.0 zu wechseln. Für NGINX Plus wurden die Korrekturen in R32 P6 und R36 P4 eingeführt. Depthfirst empfiehlt auch, NGINX nach dem Update neu zu starten, damit die Arbeitsprozesse das gepatchte Binary neu laden.
Zur Erkennung der Exposition gegenüber CVE-2026-42945 sollten Verteidiger NGINX-Konfigurationen auf Rewrite-Direktiven prüfen, die unbenannte Erfassungen mit einem Ersatzstring, der ein Fragezeichen enthält, kombinieren, gefolgt von Rewrite, If oder Set im selben Bereich. Dies ist der praktischste Ausgangspunkt zur Erkennung von CVE-2026-42945, da der Fehler von einem spezifischen und häufigen Konfigurationsmuster abhängt und nicht einfach von der bloßen Anwesenheit von NGINX.
Wenn sofortige Patching nicht möglich ist, raten sowohl F5 als auch Depthfirst, unbenannte Erfassungen wie $1 und $2 in jeder betroffenen Rewrite-Direktive durch benannte Erfassungen zu ersetzen. In den zitierten Materialien gibt es keine vom Anbieter veröffentlichten CVE-2026-42945-IOCs, also sollten Verteidiger sich auf die Versionsinventur, die Überprüfung der Konfiguration, unerwartete Neustarts von Arbeitsprozessen und verdächtige HTTP-Anforderungsmuster, die auf anfällige Rewrite-Logik treffen, konzentrieren.
FAQ
Was ist CVE-2026-42945 und wie funktioniert es?
CVE-2026-42945 ist ein Heap-Pufferüberlauf im ngx_http_rewrite_module von NGINX. Er wird durch ein spezifisches Rewrite-Regel-Muster ausgelöst, das unbenannte Regex-Erfassungen und einen Ersatzstring mit einem Fragezeichen beinhaltet, was dazu führen kann, dass Angreifer-gesteuerte URI-Daten den Heap des Arbeitsprozesses überlaufen.
Wann wurde CVE-2026-42945 erstmals entdeckt?
Öffentliche Berichte sagen, dass das Problem am 21. April 2026 verantwortungsvoll offen gelegt wurde, und Depthfirst sagt, dass F5 die koordinierte Empfehlung am 13. Mai 2026 bestätigt, gepatcht und veröffentlicht hat.
Welche Auswirkungen hat CVE-2026-42945 auf Systeme?
Die unmittelbare Auswirkung ist Dienstverweigerung durch Abstürze von Arbeitsprozessen oder Neustart-Schleifen. Unter zusätzlichen günstigen Bedingungen sagen öffentliche Berichte und Forschungsmaterialien, dass der Fehler auch die Ausführung von Remote-Code im NGINX-Arbeitsprozess ermöglichen kann.
Kann CVE-2026-42945 mich noch 2026 betreffen?
Ja. Systeme könnten 2026 immer noch ausgesetzt sein, wenn sie verwundbare NGINX-Versionen verwenden und das betroffene Rewrite-Konfigurationsmuster nutzen, insbesondere wenn sie noch nicht auf 1.30.1, 1.31.0, oder den entsprechenden behobenen NGINX Plus-Build aktualisiert wurden.
Wie kann ich mich vor CVE-2026-42945 schützen?
Aktualisieren Sie auf eine korrigierte Version, starten Sie NGINX nach dem Patchen neu und prüfen Sie Rewrite-Regeln auf unbenannte Erfassungen, gefolgt von Rewrite, If oder Set, wenn der Ersatzstring ein Fragezeichen enthält. Wenn Patching verzögert werden muss, ersetzen Sie unbenannte Erfassungen durch benannte Erfassungen als vorübergehenden Workaround.
